Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Technische Regeln, TRGS |
TRGS 725 - Gefährliche explosionsfähige Atmosphäre - Mess-, Steuer- und Regeleinrichtungen im Rahmen von Explosionsschutzmaßnahmen
Technische Regeln für Gefahrstoffe (TRGS)
Vom 21. Januar 2016
(GMBl. Nr. 12-17 vom 26.04.2016 S. 238, ber. S. 623 16; ber. 2017 S. 229 17; 19.02.2018 S. 194 18; 05.04.2023 S. 727,aufgehoben)
die TRGS 725 vom 21.01.2016 ist inhaltlich eine Neuregelung;
Red. Anmerkung: Die vorherige TRBS 3145/ TRGS 725 vom 14.06.2013 wurde durch die TRBS 3145/ TRGS 745 vom 02.02.2016 ersetzt
- Bek. d. BMAS v. 21.1.2016 - IIIb 3 - 35125 - 5 -
Gemäß § 20 Absatz 4 der Gefahrstoffverordnung macht das Bundesministerium für Arbeit und Soziales folgende Technische Regel für Gefahrstoffe bekannt:
Die Technischen Regeln für Gefahrstoffe (TRGS) geben den Stand der Technik, Arbeitsmedizin und Arbeitshygiene sowie sonstige gesicherte arbeitswissenschaftliche Erkenntnisse für Tätigkeiten mit Gefahrstoffen, einschließlich deren Einstufung und Kennzeichnung wieder.
Sie werden vom
Ausschuss für Gefahrstoffe (AGS)
ermittelt bzw. angepasst und vom Bundesministerium für Arbeit und Soziales im Gemeinsamen Ministerialblatt bekannt gegeben.
Diese TRGS konkretisiert im Rahmen des Anwendungsbereichs die Anforderungen der der Gefahrstoffverordnung GefStoffV. Bei Einhaltung der Technischen Regel kann der Arbeitgeber insoweit davon ausgehen, dass die entsprechenden Anforderungen der Verordnungen erfüllt sind. Wählt der Arbeitgeber eine andere Lösung, muss er damit mindestens die gleiche Sicherheit und den gleichen Gesundheitsschutz für die Beschäftigten erreichen.
1 Anwendungsbereich
(1) Diese TRGS konkretisiert die Anforderungen an die Zuverlässigkeit von Mess-, Steuer-, und Regelungseinrichtungen (MSR-Einrichtungen) als Teil der in TRGS 722, TRBS 2152 Teil 3 bis und TRBS 2152 Teil 4 genannten Maßnahmen. Diese TRGS gilt für mechanische, pneumatische, hydraulische, elektrische, elektronische als auch programmierbare elektronische MSR-Einrichtungen.
(2) Macht der Arbeitgeber von der Möglichkeit Gebrauch, gemäß Anhang 1 Nummer 1.6 Absatz 3 GefStoffV von einer Zoneneinteilung abzusehen, sind grundsätzlich die gemäß dieser technischen Regel für die Zone 0 bzw. 20 angegebenen Schutzmaßnahmen zu treffen. Abweichungen hiervon sind zulässig, wenn diese in der Dokumentation der Gefährdungsbeurteilung nach § 6 Absatz 9 GefStoffV begründet festgelegt werden.
(3) Die Bewertung der Wirksamkeit von Maßnahmen nach TRGS 722, TR13S 2152 Teil 3 und TRBS 2152 Teil 4 ist nicht Bestandteil dieser TRGS.
(4) Die Bewertung von organisatorischen Maßnahmen wird in dieser TRGS nicht behandelt.
2 Begriffsbestimmungen
2.1 Betriebsbewährte MSR-Technik
Betriebsbewährte MSR-Technik liegt vor, wenn für die Funktionseinheiten ihre Eignung nach Anhang 2 für den Anwendungsfall nachgewiesen ist. Bei betriebsbewährten Funktionseinheiten hat sich in der Bewährungsphase gezeigt, dass eventuell vorhandene systematische Fehler weder in der Hardware noch in der Betriebssoftware die sicherheitstechnische Funktion der Funktionseinheit beeinträchtigen.
2.2 Bewährte Technik
Bewährte Technik liegt vor, wenn die grundlegenden und bewährten Sicherheitsprinzipien nach DIN EN IS013849- 2:2008 eingehalten werden.
Explosionsschutzeinrichtungen (Ex-Einrichtungen) führen die in der Gefährdungsbeurteilung festgelegten Sicherheitsfunktionen zum Explosionsschutz aus. Sie werden durch technische Maßnahmen nach TRGS 722, TRBS 2152 Teil 3 und TRBS 2152 Teil 4 erreicht, die ggf. durch organisatorische Maßnahmen ergänzt werden können. Sie dienen
Kombinationen der Maßnahmen sind möglich. Einrichtungen zur Vermeidung gefährlicher explosionsfähiger Atmosphäre können sein z.B. Lüftungsanlagen, Inertisierungsanlagen, MSR-Einrichtungen zur Temperatureinhaltung oder Füllstandüberdeckung. Sie können die Wahrscheinlichkeit des Auftretens von gefährlicher explosionsfähiger Atmosphäre verringern oder vermeiden oder die Ausdehnung von Zonen reduzieren. Zur Einteilung von explosionsgefährdeten Bereichen in Zonen siehe Anhang 1 Nummer 1.6 Absatz 3 GefStoffV. Ex-Einrichtungen zur Reduzierung der Wahrscheinlichkeit für das Wirksamwerden von Zündquellen sind z.B. MSR-Einrichtungen zur Temperaturüberwachung eines Wälzlagers.
2.4 Ex-Vorrichtungen
Eine Ex-Vorrichtung im Sinne dieser TRGS besteht aus einer oder mehreren Ex-Einrichtungen und erforderlichenfalls deren Überwachung. Ex-Vorrichtungen können MSR-Einrichtungen beinhalten.
2.5 Fehlertoleranz (Hardwarefehlertoleranz, HFT)
Die Fehlertoleranz gibt an, mit wie vielen Fehlern die Ex-Einrichtung oder Überwachung noch sicher betrieben werden kann
2.6 Fehler, passiv
Ein unentdeckter gefährlicher Fehler, der die Sicherheitsfunktion (des betreffenden Kanals) bei Aktivierung der Funktion blockiert.
2.7 Funktionseinheit
Funktionseinheiten sind miteinander in Beziehung stehende Teile einer Ex-Einrichtung oder einer Überwachung. Funktionseinheiten können einfach oder komplex sein. Eine Erläuterung zeigt Tabelle 1.
Tabelle 1: Beispiele für einfache und komplexe Komponenten für MSR-Einrichtungen, aufgegliedert in Funktionseinheiten
Funktionseinheit einer MSR-Einrichtung | |||||||||
Komponente | Messeinrichtungen | Weiterleitung | Signalverarbeitung | Weiterleitung | Stellgeräte | ||||
einfach | z.B.: binäre Geber | z.B.: einfache Verkabelung | z.B.: VPS elektrisch | z.B.: einfache Verkabelung | z.B.: Magnetventil | ||||
komplex | z.B.: mit Mikroprozessortechnik | z.B.: Bus | z.B.: PES | z.B.: Bus | z.B.: mit Mikroprozessortechnik | ||||
|
Abbildung 1: Funktionseinheiten
2.8 Funktionseinheit, einfach
Eine einfache Funktionseinheit ist eine Funktionseinheit, deren Fehlerverhalten in einer Fehleranalyse eindeutig beschreibbar ist, wie z.B. mechanische, pneumatische, elektrische Bauelemente oder festverdrahtete Logiksysteme aus elektromechanischen Bauteilen. Die Ursache-Wirkungskette ist bei diesen Funktionseinheiten eindeutig bestimmbar. Eine einfache Funktionseinheit nach dieser TRGS entspricht dem Typ a nach der DIN EN 50495 (VDE 0170-18):2010. Beispiele für einfache Funktionseinheiten sind:
2.9 Funktionseinheit, komplex
Eine komplexe Funktionseinheit ist eine Funktionseinheit, bei der die Sicherheitsfunktion von komplexen Technologien abhängt, und deren Fehlerverhalten nicht durch einfache Fehlerbetrachtungen, untersucht werden kann, wie z.B. bei parametrierbaren oder programmierbaren elektronischen Schaltungen. Eine komplexe Funktionseinheit nach dieser TRGS entspricht dem Typ B nach der DIN EN 50495 (VDE 017018):2010. Ein Beispiel für komplexe Funktionseinheiten sind Gaswarnanlagen.
2.10 Funktionseinheit, abhängig
Funktionseinheiten einer Sicherheitsfunktion sind abhängig, wenn bei Ausfall einer Funktionseinheit die Sicherheitsfunktion insgesamt ausfällt.
2.11 Funktionseinheit, unabhängig
Funktionseinheiten in einer Sicherheitsfunktion sind unabhängig, wenn bei ihrem Ausfall die Sicherheitsfunktion erhalten bleibt.
2.12 Klassifizierungsstufe
Grad der funktionalen Sicherheit einer Funktionseinheit. Für quantitative Beurteilungen charakterisiert die Klassifizierungsstufe die zulässige Ausfallwahrscheinlichkeit.
2.13 MSR-Einrichtungen
MSR-Einrichtungen sind Einrichtungen der Mess-, Steuer- und Regeltechnik. Im Sinne dieser TRGS gehören auch die Einrichtungen der Prozessleittechnik (PLT-Einrichtungen) zu den MSR-Einrichtungen.
2.14 Prozessfehlertoleranzzeit (PFT)
Die Prozessfehlertoleranzzeit (PFT) ist die Zeit, in der der Prozess nach einer Störung in den unsicheren Zustand übergeht.
2.15 Redundanz
Redundanz bedeutet, dass durch das mehrfache Vorhandensein von Funktionseinheiten, die für den störungsfreien Normalbetrieb nicht benötigt werden, die Verfügbarkeit erhöht wird. Redundanz kann homogen oder diversitär sein.
2.16 Redundanz, aktive
Aktive Redundanz bedeutet, dass mehrere Funktionseinheiten die Funktion zeitgleich parallel ausführen. Der gleichzeitige Ausfall beider Funktionseinheiten ist hinreichend unwahrscheinlich, d. h. Fehler gemeinsamer Ursache sind nach Maßgabe der technischen Vernunft ausgeschlossen. Als hinreichend unwahrscheinlich gilt ein Fehler gemeinsamer Ursache, wenn dieser in der Regel 10 % der gefährlichen Fehler nicht überschreitet.
2.17 Redundanz, passive
Passive Redundanz bedeutet, dass eine oder mehrere Funktionseinheiten parallel vorhanden sind, aber nicht gleichzeitig arbeiten. Die aktive Funktion wird überwacht und im Fehlerfall durch die Überwachung auf die parallel vorhandene Funktion umgeschaltet. Die Umschaltzeit einschließlich der Zeit, bis der die redundante Funktionseinheit wirksam wird, liegt innerhalb der Prozessfehlertoleranzzeit.
2.18 Reduzierungsstufen
Das erforderliche Maß an Sicherheit der Maßnahmen zur Vermeidung oder Einschränkung von gefährlicher explosionsfähiger Atmosphäre und der Zündquellenvermeidung wird in dieser TRGS durch Reduzierungsstufen ausgedrückt.
2.19 Überwachung
Eine Überwachung dient dazu, den Ausfall der Sicherheitsfunktion der Ex-Einrichtung rechtzeitig zu erkennen und den Prozess durch Einleitung wirksamer technischer oder organisatorischer Maßnahmen innerhalb der Prozessfehlertoleranzzeit (PFT) in den sicheren Zustand zurück zu führen.
2.20 Überwachung, unabhängige
Bei einer unabhängigen Überwachung werden Fehler gemeinsamer Ursache für die Überwachung und die durch sie überwachte Ex-Einrichtung ausgeschlossen.
2.21 Überwachung, abhängige
Eine abhängige Überwachung teilt sich gemeinsame Funktionseinheiten mit der Ex-Einrichtung, z.B. die Sensorik. Ein gefährlicher Fehler in der gemeinsamen Funktionseinheit führt gleichzeitig zum Ausfall der Ex-Einrichtung und der Überwachung.
2.22 Sicherheitsfunktion
Die Sicherheitsfunktion besteht darin, die in der Gefährdungsbeurteilung festgelegten Maßnahmen durch Ex-Vorrichtungen sicherzustellen oder aufrecht zu erhalten.
2.23 Störung/Fehler
Eine Störung oder ein Fehler liegt vor, wenn eine Funktionseinheit nicht die beabsichtigte Funktion erbringt.
2.24 Zuverlässigkeit
Zuverlässigkeit ist die Fähigkeit einer Einrichtung eine geforderte Funktion unter vorgegebenen Bedingungen und für ein vorgegebenes Zeitintervall auszuführen. Die Zuverlässigkeit von MSR-Einrichtungen mit Sicherheitsfunktion ergibt sich aus der zuverlässigen Funktion und der funktionalen Sicherheit. Die zuverlässige Funktion wird durch die Betriebsweise und die Beanspruchungswerte aus der Umgebung und dem Prozess, die Häufigkeit eines Eingriffs der Überwachung sowie durch die Anforderungen des Prozesses hinsichtlich der Schnelligkeit des Eingriffs (Prozessfehlertoleranzzeit) bestimmt.
3 Ermittlung der Anforderungen an Ex-Vorrichtungen
3.1 Grundsätze
(1) In der Gefährdungsbeurteilung zum Explosionsschutz nach § 6 GefStoffV werden Maßnahmen entsprechend TRGS 722, TRBS 2152 Teil 3 und TRBS 2152 Teil 4 zur Vermeidung oder Einschränkung gefährlicher explosionsfähiger Atmosphäre und Zündquellenvermeidung und zur Auswirkungsbegrenzung festgelegt. Das erforderliche Maß an Sicherheit der Maßnahmen zur Vermeidung oder Einschränkung von gefährlicher explosionsfähiger Atmosphäre und der Zündquellenvermeidung wird in dieser TRGS durch Reduzierungsstufen ausgedrückt. Die Ergebnisse der Gefährdungsbeurteilung sind zu dokumentieren.
(2) Die Zuverlässigkeit der Ex-Vorrichtung muss der geforderten Reduzierungsstufe entsprechen. Zur Bewertung der Ex-Vorrichtung kann diese in Funktionseinheiten unterteilt werden.
(3) Die Zuverlässigkeit der Funktionseinheiten wird mit Hilfe von Klassifizierungsstufen beschrieben und ermöglicht die Auswahl geeigneter Geräte und Verbindungsvorrichtungen.
(4) Aus der Kombination der Klassifizierungsstufen einzelner Funktionseinheiten ergibt sich die Klassifizierungsstufe für die Ex-Vorrichtung, welche der geforderten Reduzierungsstufe entsprechen muss.
Abbildung 2: Vorgehensweise der Gefährdungsbeurteilung
(1) Die Gefährdungsbeurteilung nach § 6 GefStoffV gibt vor, welche Maßnahmen ergriffen werden müssen, um die Wahrscheinlichkeit für das zeit gleiche Auftreten von gefährlicher explosionsfähiger Atmosphäre (Zoneneinteilung) und wirksamen Zündquellen (Zündquellenvermeidung) ausreichend sicher zu reduzieren oder um die Auswirkungen von Explosionen auf ein unbedenkliches Maß zu verringern.
(2) Maßnahmen gegen Explosionen sind als ausreichend sicher zu bewerten, wenn entweder das Explosionsereignis als sehr selten einzustufen ist oder wenn die Auswirkungen einer Explosion auf ein unbedenkliches Maß reduziert werden.
(3) Maßnahmen können sein:
Zur Einteilung von explosionsgefährdeten Bereichen in Zonen siehe Anhang 1 Nummer 1.6 Absatz 3 GefStoffV).
(4) Die Wirksamkeit der in TRGS 722, TRBS 2152 Teil 3 und TRBS 2152 Teil 4 genannten Maßnahmen wird vorausgesetzt. Eine Maßnahme ist wirksam, wenn die in der Gefährdungsbeurteilung festgelegten sicherheitstechnischen Parameter im Wirkbereich der Maßnahme eingehalten werden. Deren Bewertung ist nicht Bestandteil dieser TRGS. Eine geeignete konstruktive Ausführung der technischen Maßnahmen zum Explosionsschutz wird vorausgesetzt.
(5) Der Arbeitgeber hat die Betriebszustände der Anlage, für welche eine Ex-Vorrichtung vorgesehen wird, sowie die Grenzen einer Ex-Vorrichtung (räumlich und funktional) festzulegen. Dabei sind alle Aspekte, die die funktionale Sicherheit, die zuverlässige Funktion und die Wirksamkeit der Ex-Vorrichtung betreffen, zu berücksichtigen.
(6) Die Beurteilung der zuverlässigen Funktion der Ex-Vorrichtung muss
mit einschließen. Der Arbeitgeber hat dabei auch Veränderungen gegenüber den sicherheitsrelevanten Festlegungen, die ein Hersteller getroffen hat, zu berücksichtigen. Zur Beurteilung der zuverlässigen Funktion der MSR-Einrichtung sind die einschlägigen Regeln zu beachten.
(7) Die notwendige Zuverlässigkeit einer Ex-Vorrichtung nach Absatz 3 Nr. 1) ist abhängig von der Zoneneinteilung und der Wahrscheinlichkeit des Auftretens einer wirksamen Zündquelle. Dieser Abhängigkeit wird eine Wertigkeit zugeordnet und diese durch sogenannte Reduzierungsstufen dargestellt (siehe Tabelle 2). Zur Einteilung von explosionsgefährdeten Bereichen in Zonen siehe Anhang 1 Nummer 1.6 Absatz 3 GefStoffV).
Tabelle 2: Einfluss der Zoneneinteilung und Wahrscheinlichkeit des Auftretens einer wirksamen Zündquelle auf die erforderliche Anzahl von Reduzierungsstufen
Zone
Zündquelle |
Zone 0/20 | Zone 1/21 | Zone 2/22 | keine Zone |
Anzahl erforderlicher Reduzierungsstufen | ||||
Zündquelle im Normalbetrieb (betriebsmäßig) vorhanden | 3 | 2 | 1 | - |
Zündquelle im vorhersehbaren Fehlerfall oder bei gelegentlichen Betriebsstörungen vorhanden | 2 | 1 | - | - |
Zündquelle im seltenen Fehlerfall oder bei seltener Betriebsstörungen vorhanden | 1 | - | - | - |
Zündquelle im sehr seltenen Fehlerfall vorhanden | _ | - | _ | _ |
3.3 Bewertung der Ex-Vorrichtung
(1) Der qualitative Zusammenhang zwischen der Zuverlässigkeit einer Ex-Vorrichtung und deren Ausfallwahrscheinlichkeit wird für diese TRGS im Folgenden definiert. Ein Ausfall ist
(2) Für die Bewertung der Ex-Vorrichtung kann diese in Funktionseinheiten unterteilt werden. Die Bewertung der Ex-Vorrichtung erfolgt dann nach den in Nummer 4 festgelegten Bewertungsmaßstäben. Ohne Unterteilung der Ex-Vorrichtung in Funktionseinheiten kann für diese lediglich ein vorhersehbares Ausfallverhalten angenommen werden.
(3) Die folgende Tabelle 3 beschreibt den Zusammenhang zwischen der Zuverlässigkeit der Ex-Vorrichtung und der erreichbaren Reduzierungsstufen qualitativ.
Tabelle 3: Erzielbare Anzahl von Reduzierungsstufen für Ex-Vorrichtungen (Wertigkeit der Ex-Vorrichtung)
Zuverlässigkeit der Ex-Vorrichtung | dauerhaft sichergestellt | hoch | ausreichend |
zugehöriges Ausfallverhalten der Ex-Vorrichtung | sehr selten | selten | vorhersehbar |
erzielbare Anzahl von Reduzierungsstufen der Ex-Vorrichtung | 3 | 2 | 1 |
(4) Die Bewertung des Ausfallverhaltens von Funktionseinheiten der MSR-Einrichtungen wird üblicherweise durch den Hersteller nach den einschlägigen Herstellungsnormen vorgenommen, sodass in der Regel keine pauschale Bewertung nach Absatz 2 erfolgt. Wird bei MSR-Einrichtungen ein vorhersehbares Ausfallverhalten pauschal unterstellt kann Tabelle 4 verwendet werden.
(5) Nicht-MSR-Einrichtungen als Bestandteil der Ex-Vorrichtung werden analog den qualitativen Beschreibungen des Ausfallverhaltens in Absatz 2 beurteilt und nach Tabelle 4 einer Klassifizierungsstufe zugeordnet.
Tabelle 4: Erzielbare Klassifizierungsstufe von MSR- und Nicht-MSR-Einrichtungen
Zuverlässigkeit von Funktionseinheiten für MSR/Nicht-MSR-Einrichtungen | dauerhaft sichergestellt | hoch | ausreichend |
zugehöriges Ausfallverhalten von Funktionseinheiten für MSR-Einrichtungen | siehe Nummer 6 | siehe Nummer 6 | vorhersehbar oder Nummer 6 |
zugehöriges Ausfallverhalten von Funktionseinheiten für Nicht-MSR-Einrichtungen | sehr selten | selten | vorhersehbar |
erzielbare Klassifizierungsstufe | K3 | K2 | K1 |
(6) Nachdem das Ausfallverhalten der Funktionseinheiten von MSR- und Nicht-MSR-Einrichtungen bewertet wurde und diese in Klassifizierungsstufen eingeordnet wurden, ist die Architektur der Ex-Vorrichtung zu bestimmen. Die Architektur kann beispielsweise grafisch durch ein Blockdiagramm dargestellt werden. Unter Berücksichtigung der Architektur kann nach Bewertungsgrundsätzen gemäß Nummer 4 die Klassifizierungsstufe der Ex-Vorrichtung als Ganzes bestimmt werden.
(7) Wenn die geforderte Zuverlässigkeit der Ex-Vorrichtung durch die Ex-Einrichtung alleine nicht erreicht wird, kann diese durch eine weitere Ex-Einrichtung oder durch eine Überwachung ergänzt werden.
(8) In der Gefährdungsbeurteilung ist festzulegen, ob eine Überwachung der Ex-Einrichtung erforderlich ist.
4 Ex-Vorrichtungen als Maßnahmen der Zonenreduzierung/ Zündquellenvermeidung
4.1 Verfahrensweise zur Beurteilung des Ausfallverhaltens von Ex-Vorrichtungen
(1) In einem ersten Schritt wird die Sicherheitsfunktion der Ex-Vorrichtung festgelegt. Gegebenenfalls kann eine Ex-Vorrichtung mehrere Sicherheitsfunktionen beinhalten. Jede einzelne Sicherheitsfunktion stellt eine Ex-Einrichtung dar.
(2) Das Ausfallverhalten der Ex-Einrichtung ist insbesondere von der konstruktiven Auslegung bestimmt, wird aber auch von anderen Einflussgrößen, wie Verfahrensweisen, prozesstechnischen Eigenschaften oder organisatorischen Maßnahmen beeinflusst. Die Beurteilung der Auswirkung dieser Einflussgrößen dient als Basis für die vollständige Beurteilung der Ex-Einrichtung. (Geeignete Verfahren zur Beurteilung des Ausfallverhaltens von Ex-Einrichtungen hinsichtlich dieser Einflussgrößen können beispielsweise Ursache-Wirkungs-Analyse, PAAG-Verfahren (PAAG = Prognose von Abweichungen, Auffinden der Ursachen, Abschätzen der Auswirkungen, Gegenmaßnahmen) oder HAZOP (HAZOP = Hazardous Operability Study) sein.)
(3) Zur Beurteilung des Ausfallverhaltens der Ex-Einrichtung wird diese in sinnvolle Funktionseinheiten zergliedert. Die Anzahl der Funktionseinheiten soll die Zahl fünf nicht überschreiten. Ist die qualitative Bewertung einer Funktionseinheit ohne weitere Detaillierung nicht möglich, so kann diese Funktionseinheit wiederum in weitere Funktionseinheiten zergliedert werden (Gliederungsebene), deren Anzahl fünf nicht überschreiten soll. Jede Gliederungsebene ist für sich zu beurteilen. Die Anzahl der Gliederungsebenen ist auf maximal fünf zu beschränken. (Die Methode führt für eine zu große Anzahl von Funktionseinheiten und Gliederungsebenen bei lediglich qualitativer Beschreibung der Funktionseinheiten zu falschen Ergebnissen, daher wird deren Anzahl beschränkt.)
(4) Jede Funktionseinheit wird hinsichtlich ihrer Abhängigkeit zu anderen Funktionseinheiten bewertet und entsprechend Tabelle 4 einer Klassifizierungsstufe zugeordnet.
(5) Funktionseinheiten sind abhängig voneinander, wenn der Ausfall einer Funktionseinheit zum Ausfall der Ex-Einrichtung führt.
(6) Sicherheitstechnisch voneinander abhängige Funktionseinheiten sind in Reihe geschaltet. Die Klassifizierungsstufen der einzelnen Funktionseinheiten werden zu einer Klassifizierungsstufe der Ex-Einrichtung zusammengefasst. Die niedrigste Klassifizierungsstufe der in Reihe verschalteten Funktionseinheiten bestimmt die Klassifizierungsstufe der Reihe.
(7) Die Zuverlässigkeit der Ex-Einrichtung kann durch Redundanz von Funktionseinheiten (Parallelschaltung im Blockdiagram, siehe Abbildungen 3, 4, 5 und 6) erhöht werden. Der Ausfall der Redundanzen muss erkennbar sein und vor Erreichen eines unsicheren Zustands sind geeignete Maßnahmen zu treffen, um die Sicherheit zu gewährleisten.
(8) Sicherheitstechnisch voneinander unabhängige und redundante Funktionseinheiten sind parallel geschaltet. Deren Klassifizierungsstufen addieren sich (siehe Tabelle 5).
Tabelle 5: Resultierende Klassifizierungsstufe bei redundanten Funktionseinheiten, abhängig von der Klassifizierungsstufe
Klassifizierungsstufe einer Funktionseinheit | Klassifizierungsstufe der zweiten Funktionseinheit | Resultierende Klassifizierungsstufe |
K11 | K11 | K22 |
K2 | K11 | K33, 4 |
1) Für die Überwachung von betrieblichen Zündquellen sowie für die Überwachung von Maßnahmen zur Vermeidung gefährlicher explosionsfähiger Atmosphäre reicht eine Ausführung in bewährter Technik mit den allgemeinen Anforderungen nach Anhang 1 einschließlich regelmäßiger Prüfung aus. Für nicht-MSR-Einrichtungen reicht eine Ausführung in bewährter Technik einschließlich regelmäßiger Prüfung aus.
2) Abweichend von Satz 1 kann mit der Funktionseinheit Prozessleitsystem (PLS) bei Verwendung unabhängiger Ein- und Ausgänge eine zu K2 gleichwertige Sicherheit erreicht werden, wenn die Gefährdungsbeurteilung nach Nummer 3.2 unter Verwendung der TRGS 720 ff ergeben hat,
Zusätzlich zu den Anforderungen nach Anhang 1 Nummer 1 Absatz 9 muss für das PLS hierzu in der Gefährdungsbeurteilung festgestellt worden sein, dass
3) K3 ist durch Bildung einer Kombination mit maximal einer Einrichtung in Ausführung in bewährter Technik mit Zusatzmaßnahmen nach Anhang 1 einschließlich regelmäßiger Prüfung aus zulässig. 4) Eine Klassifizierungsstufe K3 ist allein durch eine Kombination von Maßnahmen im Prozessleitsystem (PLS) nicht möglich. |
Beispiel 1: Ex-Einrichtung der Klassifizierungsstufe K1
Die Funktionseinheiten a, b und c haben die in den Blöcken eingetragene Klassifizierungsstufe (Abbildung 3) und sind funktional voneinander abhängig (jedes Element ist notwendig, damit die Sicherheitsfunktion ausgeführt wird). Die Ex-Einrichtung hat nach Absatz 6 eine Klassifizierungsstufe von Kl.
Abbildung 3: Ex-Einrichtung der Klassifizierungsstufe K1; Reihenschaltung der Funktionseinheiten a (K2), b (K1) und c (K1)
Beispiel 2: Ex-Einrichtung der Klassifizierungsstufe K1 in K2 überführen
Wenn die Ex-Einrichtung der Abbildung 3 die Klassifizierungsstufe K2 erfüllen soll, müssen die Funktionselemente b und c jedes für sich die Klassifizierungsstufe K2 erfüllen. Dies ist möglich durch Verwendung von Funktionselementen mit einem besseren Ausfallverhalten als "vorhersehbar" oder indem zu den Elementen b und c jeweils ein redundantes funktionsidentisches Element geschaltet wird oder indem zu den Elementen b und c ein gemeinsames Element parallel geschaltet wird, welches die Funktion der Elemente b und c übernimmt. Letzterer Fall ist in der Abbildung 4 dargestellt und kann wie in Abbildung 5 und 6 zusammengefasst werden. Die Zusammenfassungen von Funktionseinheiten verdeutlichen die Anwendung der Tabelle 5. (Nach Absatz 6 erfüllt die Ex-Einrichtung die Klassifizierungsstufe K2.)
Abbildung 4: Ex-Einrichtung der Klassifizierungsstufe K2; Reihenschaltung der Funktionseinheit a (K2) mit Parallelschaltung der Funktionseinheiten b - c (K1) und d (K1) als zusätzliche Maßnahme in einer aktiven Redundanz (zu bc)
Abbildung 5: Ex-Einrichtung der Abbildung 4 mit der Zusammenfassung der Funktionseinheiten b (K1) und c (KI) zu einer gemeinsamen Funktionseinheit (b + c) der Klassifizierungsstufe K1
Abbildung 6: Ex-Einrichtung der Abbildung 4 mit der Zusammenfassung der Funktionseinheiten (b + c) (K1) und d (K1) nach Tabelle 5 zu einer gemeinsamen Funktionseinheit (b + c)//d mit der Klassifizierungsstufe K2
(9) Besteht die Ex-Vorrichtung nur aus einer einzelnen Ex-Einrichtung entspricht deren Klassifizierungsstufe der Ex-Vorrichtung.
(10) Besteht die Ex-Vorrichtung aus mehreren unabhängigen Ex-Einrichtungen addieren sich deren Klassifizierungsstufen zu einer resultierenden Klassifizierungsstufe entsprechend Tabelle 5.
(11) Aus der resultierenden Klassifizierungsstufe wird die Reduzierungsstufe der Ex-Vorrichtung nach Tabelle 6 bestimmt.
Tabelle 6: Gegenüberstellung der resultierenden Klassifizierungsstufen mit der Reduzierungsstufe der Ex-Vorrichtung
Klassifizierungsstufe | Reduzierungsstufe |
K1 | 1 |
K2 | 2 |
K3 | 3 |
4.2 Verfahrensweise bei der Beurteilung des Ausfallverhaltens der Ex-Einrichtung 16
(1) Für die Gefährdungsbeurteilung ist es sinnvoll die Ex-Einrichtungen zur Zonenreduzierung zunächst und - falls notwendig - erst danach die Ex-Einrichtungen zur Vermeidung von Zündquellen zu betrachten. Beide Ex-Einrichtungen müssen getrennt voneinander bewertet werden. Die Beurteilungsgrundlagen der Nummern 4.4 und 4.5 sind nur anwendbar, wenn das Auftreten gefährliche explosionsfähiger Gemische und das Wirksamwerden von Zündquellen voneinander unabhängig sind.
(2) Die Fälle, in denen keine Unabhängigkeit zwischen dem Auftreten der gefährlichen explosionsfähigen Atmosphäre und der Zündquelle gegeben ist, erfordern eine gesonderte Betrachtung.
(3) Ex-Einrichtungen zur Vermeidung gefährlicher explosionsfähiger Atmosphäre und Ex-Einrichtungen zur Zündquellenvermeidung können Funktionseinheiten einer gemeinsamen Ex-Vorrichtung sein (siehe Nummer 4.6).
4.3 Verfahrensweise bei der Beurteilung des Ausfallverhaltens der Überwachung
(I) Überwachungen sind Teil einer Sicherheitsfunktion. Sie gewährleisten, dass die Sicherheitsfunktion der Ex-Einrichtung aufrechterhalten oder eine andere Sicherheitsfunktion vor Erreichen eines unsicheren Zustands wirksam wird. Diese kann z B die Alarmierung, die Umschaltung auf einen anderen Lüfter, die Unterbrechung des Freisetzungsprozesses, z.B. des Massenstromes, oder die Abschaltung von Zündquellen sein.
(2) Die notwendigen Funktionseinheiten der Überwachung (Sensorik, Logik, Aktorik) sind in Reihe verschaltet.
(3) Ergibt sich aus der Gefährdungsbeurteilung die Notwendigkeit einer Überwachung, muss diese grundsätzlich unabhängig von der Ex-Einrichtung sein. Abweichungen hiervon sind zulässig, wenn dies in der Gefährdungsbeurteilung nach § 6 Absatz 9 GefstoffV ( Explosionsschutzdokument) begründet wird.
(4) Das Blockdiagramm der Ex-Vorrichtung für eine Überwachung mit Schaltfunktion besteht aus parallelen Ex-Einrichtungen oder Funktionseinheiten. Die Überwachung ist als Funktionseinheit in Reihe zu der von ihr aktivierten Ex-Einrichtung (Funktionseinheit) enthalten und liegt parallel zur überwachten Ex-Einrichtung (siehe Abbildung 7).
Abbildung 7: Eine Ex-Vorrichtung bestehend aus zwei Ex-Einrichtungen in einer passiven Redundanz
Die Ex-Einrichtung bestehend aus der Überwachung und der Funktionseinheit d überwacht die andere Ex-Einrichtung und übernimmt bei deren Ausfall die gleiche oder eine andere Sicherheitsfunktion. Die Überwachung in der Abbildung 7 ist unabhängig von der Ex-Einrichtung mit den Funktionselementen a, b und c. Überwachungen können auch eigenständige Sicherheitsfunktionen übernehmen, z.B. Gaswarneinrichtungen.
(5) Für die sicherheitstechnische Auslegung einer unabhängigen Überwachung, die bei Ausfall der Sicherheitsfunktion nur alarmiert, ist eine Ausführung in bewährter Technik mit allgemeinen Anforderungen nach Anhang 1 einschließlich regelmäßiger Prüfung ausreichend.
(6) Eine abhängige Überwachung nutzt Funktionseinheiten der Ex-Einrichtung (z.B. Sensorik oder Aktorik). Die Überwachung liegt im Blockschaltbild in Reihe zu den Funktionseinheiten der Ex-Einrichtung.
(7) Im Falle der abhängigen Überwachung sind höhere Anforderungen an die Fehlersicherheit der abhängigen Teile oder an die Prüffrist zu stellen. Die abhängige Überwachung als Ganzes oder die Funktionseinheiten, für welche eine Abhängigkeit besteht, müssen mindestens in einer Klassifizierungsstufe höher ausgeführt sein als die notwendige Reduzierungsstufe der Vorrichtung. Alternativ ist die Prüffrist so zu wählen, dass der Ausfall der Überwachung so rechtzeitig erkannt wird, dass Maßnahmen zur Aufrechterhaltung der Sicherheit getroffen werden können.
(8) Bei einer abhängigen Überwachung mit Schaltfunktion besteht das Blockdiagramm der Ex-Vorrichtung aus parallelen Ex-Einrichtungen oder Funktionseinheiten, zu deren Gesamtheit die Überwachung mit Schaltfunktion oder die abhängigen Funktionseinheiten in Reihe liegt (siehe Abbildung 8).
Abbildung 8: Eine Ex-Vorrichtung bestehend aus zwei Ex-Einrichtungen in einer passiven Redundanz mit einer abhängigen Überwachung (Ü) mit Schaltfunktion
4.4 Ex-Vorrichtungen zur Zonenvermeidung und -reduzierung 17
(1) Die Maßnahme besteht aus einer Ex-Einrichtung zur Zonenvermeidung oder reduzierung und, falls erforderlich, deren Überwachung. Ex-Einrichtungen können auch Maßnahmen zur Reduzierung der Ausdehnung von Zonen darstellen, z.B. bei Lüftungsanlagen. Ist der Ausfall der Ex-Einrichtung als sehr selten zu betrachten, ist eine Überwachung der Ex-Einrichtung nicht erforderlich.
(2) Wird die Anzahl der erforderlichen Reduzierungsstufen in Bezug zu den vorhandenen wirksamen Zündquellen gemäß Tabelle 2 durch die Ex-Vorrichtung zur Zonenreduzierung nicht erreicht, so verbleibt eine Zone, für die weitere Maßnahmen getroffen werden müssen (siehe Tabelle 7).
(3) Falls eine Zone verbleibt und wirksame Zündquellen nicht durch MSR-Einrichtungen ausreichend sicher zu verhindern sind (z.B. bei heißen Oberflächen), müssen entweder die Maßnahmen zur Zonenreduzierung hinsichtlich des Ausfallverhaltens verbessert, andere Maßnahmen zur Zündquellenvermeidung durchgeführt oder Maßnahmen des konstruktiven Explosionsschutzes ergriffen werden.
(4) Die Ex-Einrichtung zur Zonenreduzierung muss in Abhängigkeit des Ergebnisses der Gefährdungsbeurteilung überwacht werden, damit deren Ausfall erkannt wird und kurzfristig Maßnahmen eingeleitet werden können. Zur Einteilung von explosionsgefährdeten Bereichen in Zonen siehe Anhang 1 Nummer 1.6 Absatz 3 GefStoffV).
Tabelle 7: Bestimmung der resultierenden Zone in Abhängigkeit vom Ausfallverhalten der Ex-Vorrichtung zur Zonenreduzierung
Zone ohne Maßnahme | Zone 0 | Zone 1 | Zone 2 | |||||||
Ausfallverhalten der Ex-Vorrichtung zur Zonenreduzierung | sehr selten | selten | zu erwarten | selten | zu erwarten | zu erwarten | ||||
resultierende Klassifizierungsstufe | K3 | K2 | K11 | K2 | K11 | K11 | ||||
resultierende Zone | keine Zone | Zone 2 | Zone 1 | keine Zone | Zone 2 | keine Zone | ||||
|
4.5 Ex-Vorrichtungen zur Zündquellenvermeidung
(1) Die Maßnahme besteht aus einer Ex-Einrichtung zur Zündquellenvermeidung und falls erforderlich deren Überwachung. Eine Überwachung der Ex-Einrichtung ist nicht erforderlich, sofern der Ausfall der Ex-Einrichtung als sehr selten betrachtet wird. (Für Geräte im Sinne der Richtlinie 2014/34/EU wird die Zündschutzart, z.B. Überdruck-Kapselung oder Zündquellenüberwachung ("b"), als Ex-Einrichtung betrachtet. Abhängig von der Konstruktion und Gerätekategorie können zusätzliche Überwachungen erforderlich sein.)
(2) Für die funktionale Sicherheit der Ex-Vorrichtung muss die Fehlersicherheit das gleiche Niveau aufweisen wie vergleichbare Sicherheits-, Kontroll- oder Regelvorrichtungen im Sinne der Richtlinie 2014/34/EU für die entsprechende Gerätekategorie. Andernfalls muss die Sicherheit auf andere Art und Weise hergestellt werden.
(3) Die Tabelle 8 beschreibt die Vorgehensweise zur Festlegung einer Klassifizierungsstufe für Überwachungen zur Vermeidung einer Zündquelle.
Tabelle 8: Klassifizierung der Überwachung einer Ex-Vorrichtung zur Vermeidung einer Zündquelle
Vorhandene Zone | 0 oder 20 | 1 oder 21 | 2 oder 22 | |||||||||||||
notwendige Kategorie bei Geräten nach 2014/34/EU. | 1G oder 1D | 2G oder 2D | 3G oder 3D | |||||||||||||
Zulässigkeit von Zündquellen abhängig von den Zonen | ||||||||||||||||
ständig bzw. häufig | Nein | Nein | Nein | |||||||||||||
gelegentlich | Nein | Nein | Ja | |||||||||||||
selten | Nein | Ja | Ja | |||||||||||||
Notwendigkeit einer Überwachung in Abhängigkeit von wirksamen Zündquellen | ||||||||||||||||
Zündquelle vorhanden: | nie | beim seltenen Fehler | beim zu erwartenden Fehler |
beim seltenen Fehler | beim zu erwartenden Fehler |
ständig | beim zu erwartenden Fehler |
ständig | ||||||||
Überwachung erforderlich | Nein | Ja | Ja | Nein | Ja | Ja | Nein | Ja | ||||||||
Anforderungen an die Überwachung | ||||||||||||||||
erforderliche Fehlertoleranz (HFT)1 der Überwachung | - | 0 | 12 | - | 0 | 12 | - | 0 | ||||||||
Klassifizierungsstufe der Überwachung | - | K13 | K2 | - | K13 | K2 | K13 | |||||||||
|
4.6 Ex-Vorrichtungen zur Zonenreduzierung in Kombination mit Überwachungen zur Vermeidung von Zündquellen
(1) Wird nach Ausfall der Ex-Vorrichtung zur Zonenreduzierung durch eine unabhängige Überwachung eine Zündquellenabschaltung vorgenommen, so gilt für die Bestimmung der erforderlichen Klassifizierungsstufe dieser Überwachung die Tabelle. Die durch die Ex-Einrichtung zur Zonenreduzierung erreichte resultierende Zone ist die vorhandene Zone in Tabelle 8. Zur Einteilung von explosionsgefährdeten Bereichen in Zonen siehe Anhang 1 Nummer 1.6 Absatz 3 GefStoffV.
(2) Falls die Ex-Einrichtung zur Zonenreduzierung und die Ex-Einrichtung zur Zündquellenabschaltung beide für ihre Sicherheitsfunktion eine Überwachung benötigen, werden in der Praxis oft gemeinsame Funktionseinheiten eingesetzt, sodass eine Abhängigkeit vorliegt. Die Beurteilung muss diese Abhängigkeit berücksichtigen, indem z.B. zunächst wie unter Absatz 1 die resultierende Zone festgelegt wird, mit der in Tabelle 8 die Festlegung der Anforderungen an die Überwachung erfolgt. Die nach Tabelle 8 ermittelte Klassifizierungsstufe muss anschließend für die abhängigen Funktionseinheiten um eine Stufe erhöht werden.
(3) Für die abhängigen Funktionseinheiten kann alternativ das Verfahren des Blockschaltbildes angewendet werden, welches die Abhängigkeit dadurch darstellt, dass die gemeinsame Überwachung in Reihe zu den beiden parallelen Ex-Einrichtungen liegt (s. Abbildung 8).
5 Ex-Vorrichtungen zur Reduzierung der Auswirkungen einer Explosion
(1) Ex-Vorrichtungen zur Reduzierung der Auswirkungen einer Explosion können z.B. Schutzsysteme im Sinne der TRBS 2152 Teil 4 sein. Für diese Ex-Vorrichtungen können Überwachungen erforderlich sein.
(2) Wenn zur Funktion des Schutzsystems eine Überwachung erforderlich ist und im Rahmen der Gefährdungsbeurteilung oder sicherheitstechnischen Bewertung nichts anderes festgelegt wird, muss die Überwachung Ein-Fehlersicher sein (HFT = 1) und die Klassifizierungsstufe K2 erfüllen. (Basis für diese Betrachtung ist, dass das Explosionsschutzkonzept für eine Anlage nicht nur auf konstruktiven Explosionsschutzmaßnahmen beruht, sondern immer zusätzlich risikomindernde technische und organisatorische Explosionsschutzmaßnahmen des vorbeugenden Explosionsschutzes ergriffen werden, die einen bedeutenden Beitrag zur Risikominderung darstellen. Weiterhin wird vorausgesetzt, dass bei Versagen der Überwachung auch das Schutzsystem komplett versagt.)
6 Umsetzung der Klassifizierungsstufen in ein Konzept der funktionalen Sicherheit
(1) In den Nummern 4 und 5 wurde aufgrund der Gefährdungsbeurteilung nach Kapitel 3 die Zuverlässigkeit einer Ex-Vorrichtung einschließlich der ihr zugeordneten Nicht-MSR-Einrichtungen über die qualitative Ausfallwahrscheinlichkeit bestimmt und einer Klassifizierungsstufe zugeordnet. Für MSR-Einrichtungen sollen entweder vorliegende Bewertungen der Zuverlässigkeit nach Herstellernormen verwendet oder eine Bewertung der Betriebsbewährung nach Anhang 2 durch den Arbeitgeber durchgeführt werden. Den unterschiedlichen Zuverlässigkeitskennwerten nach Herstellernormen oder Arbeitgeber-Aussagen zur Betriebsbewährung werden in dieser Nummer Klassifizierungsstufen zugeordnet.
(2) MSR-Einrichtungen sind je nach Erfordernis in verschiedenen Technologien (elektrisch, mechanisch, pneumatisch, hydraulisch oder elektronisch) ausgeführt. MSR-Einrichtungen können daher im Ganzen oder in Teilen aus einfachen oder komplexen Funktionseinheiten bestehen.
(3) Die funktionale Sicherheit der Funktionseinheiten wird durch Fehlervermeidung oder Fehlerbeherrschung (automatische oder organisatorische Einleitung von Gegenmaßnahmen) unter Beachtung aller Betriebsbedingungen und vorgesehenen Wartungs- oder Prüfungsmaßnahmen sichergestellt. Dazu müssen die allgemeinen Anforderungen nach Anhang 1 unabhängig von der Klassifizierungsstufe erfüllt werden.
(4) Der Zusammenhang zwischen funktionaler Sicherheit und Klassifizierungsstufen wird in den Tabellen 9 bis 13 und in Anhang 2 beschrieben.
(5) Sollen keine hinsichtlich der funktionalen Sicherheit bewerteten Funktionseinheiten Verwendung finden, so kann z.B. durch die Verwendung bewährter Bauteile nach DIN EN ISO 13849-2:2008 sowie ggf. Redundanz die geforderte Klassifizierungsstufe erreicht werden (siehe Tabelle 9).
Tabelle 9: Anforderungen an die Funktionale Sicherheit in Abhängigkeit von der Klassifizierungsstufe
Klassifizierungsstufe | K3 | K2 | K1 |
erforderliche Fehlersicherheit (HFT) | Zweifehlersicherheit (FIFT=2) | Einfehlersicherheit (HIT=1) | Nichtfehlersicher (HFT=0) |
funktionale Sicherheit (Mindestanforderungen) | 1 v 3 Redundanz einschließlich
Zusatzmaßnahmen nach Anhang 1 und bewährte Bauteile nach DIN EN IS. 13849-2:2008 oder Fail Safe1 |
1 v 2 Redundanz einschließlich
Zusatzmaßnahmen nach Anhang 1 und bewährte Bauteile nach DIN EN IS. 13849-2:2008 oder Fail Safe1 |
Zusatzmaßnahmen nach Anhang 1 und bewährte Bauteile nach DIN EN IS. 13849-2:2008
oder Fail Safe1 |
Hinweis: Von einem Hersteller als Fall Safe klassifizierte Funktionseinheiten können nach Tabelle 9 für alle Klassifizierungsstufen verwendet werden.
1) Fail Safe oder fehlersicher ist eine Funktionseinheit, wenn es die Fähigkeit besitzt, beim Auftreten gefährlicher Fehler (z.B. innerer Fehler) im sicheren Zustand zu bleiben oder vor Ablauf der Fehlertoleranzzeit in einen anderen sicheren Zustand überzugehen. Die Eigenschaft "Fall Safe" ist unverlierbar, sie wird vom Hersteller bestätigt. |
(6) Liegen vom Hersteller Bewertungen der funktionalen Sicherheit entsprechend der DIN EN 61508:2010, DIN EN 61511:2004, DIN EN 62061 (VDE 0113-50):2013 oder DIN EN 50495:2010 vor, so erfolgt die Zuordnung des Safety Integrity Level (SIL oder SILCL.) zu der Klassifizierungsstufe entsprechend Tabelle 10. SILCL, ist die SIL-Anspruchsgrenze bzw. SIL-Claim-Limit (in Anlehnung zu DIN EN 62061 (VDE 0113-50):2013). SILCL. ist als maximaler SIL definiert, der für eine Funktionseinheit in Bezug auf strukturelle Einschränkwagen und systematische Fehlerintegrität in Anspruch genommen werden kann. Die Funktionseinheiten, aus denen das System besteht, das die Sicherheitsfunktion realisiert, müssen über eine entsprechende SIL-Eignung (SILCL) verfügen.
Tabelle 10: Zuordnung des SIL zu der Klassifizierungsstufe
Klassifizierungsstufe | Safety Integrity Level (SIL oder SILCL) |
K1 | SIL 1 oder SILCL 1 |
K2 | SIL 2 oder SILCL 2 |
K3 | SIL 3 oder SILCL 3 |
(7) Die Bestimmung des SIL für eine festgelegte Architektur der MSR-Einrichtung erfolgt nach den Methoden und Regeln der DIN EN 50495 (VDE 0170-18):2010. Der SIL der gesamten Kette entspricht der resultierenden Klassifizierungsstufe entsprechend Tabelle 10.
(8) Liegen vom Hersteller Bewertungen für einfache oder komplexe Funktionseinheiten entsprechend DIN EN ISO 13849:2008 bzw. DIN EN 954:1997 vor, so erfolgt die Zuordnung der Zuverlässigkeitskenngrößen der Normen zu den Klassifizierungsstufen entsprechend Tabelle 11.
Tabelle 11: Zuordnung des Performance Levels (PL) nach DIN EN ISO 13849-1:2008 und der Kategorien nach DIN EN ISO 13849-1:2006 bzw. DIN EN 954:1997 zu den Klassifizierungsstufen
Klassifizierungsstufe | DIN EN ISO 13849:2008 bzw. DIN EN ISO 13849:2006 (alt) bzw. DIN EN 954:1997 | |||
PL1 | Kategorie2 | MTTF3 | DC4 | |
K1 | b | B oder 1 | mittel | kein |
c | 2 | niedrig | niedrig | |
K2 | d | 2 | hoch | niedrig |
2 | hoch | mittel | ||
3 | mittel oder hoch | niedrig | ||
K3 | e | 3 oder 4 | hoch | mittel oder hoch |
1) PL, Performance Level Der Performance Level beschreibt die Anforderungen an die funktionale Sicherheit der sicherheitstechnischen Funktionen, wobei der Performance Level e den höchsten Grad der Sicherheitsintegrität, der Sicherheits-Integritätslevel b den niedrigsten darstellt. 2) Kategorie nach DIN EN IS. 13849-1:2006 3) MTTF erwartete mittlere Zeit (Mittelwert) bis zum Ausfall 4) DC, Diagnosedeckungsgrad: Anteil der gefahrbringenden Ausfälle, die während des Betriebs durch automatische Diagnosetests erkannt werden. |
(9) Die Bestimmung des PL für eine festgelegte Architektur der MSR-Einrichtung erfolgt nach den Methoden und Regeln der DIN EN ISO 13849:2008. Der PL der gesamten Kette entspricht der resultierenden Klassifizierungsstufe entsprechend Tabelle 11.
(10) Liegen vom Hersteller Bewertungen für einfache oder komplexe Funktionseinheiten entsprechend DIN EN 13463- 6:2005 vor, so erfolgt die Zuordnung der Zuverlässigkeitskenngrößen der Normen zu den Klassifizierungsstufen entsprechend Tabelle 12.
Tabelle 12: Zuordnung der Ignition Protection Level (IPL) für mechanische Bauteile nach der DIN EN 13463-6 zu den Klassifizierungsstufen
DIN EN 13463-6 | |
Klassifizierungsstufe | IPL1 |
K1 | 1 |
K2 | 2 |
K3 | - |
1) IPL, Ignition Protection Level (siehe DIN EN 13463-6:2005) |
(11) Liegen vom Arbeitgeber Bewertungen für einfache oder komplexe Funktionseinheiten entsprechend Anhang 2 zur Betriebsbewährung vor, so erfolgt die Zuordnung zu den Klassifizierungsstufe entsprechend Tabelle 13.
Tabelle 13: Funktionale Sicherheit von betriebsbewährten Funktionseinheiten in Abhängigkeit von der Klassifizierungsstufe
Klassifizierungsstufe | K3 | K2 | K1 |
erforderliche Fehlersicherheit (HFT) | Ein-Fehlersicher (HFT = 1) |
nicht fehlersicher (HFT = 0) |
nicht fehlersicher (HFT = 0) |
funktionale Sicherheit | 1 v 2 Redundanz oder 2 v.3 Redundanz und Anforderungen nach Anhang 2 |
Anforderungen nach Anhang 2 |
Anforderungen nach Anhang 2 |
(12) Sind komplexe Funktionseinheiten nicht nach Anwendungsnormen durch den Hersteller oder als fail safe klassifiziert und liegt für sie keine Betriebsbewährung nach Anhang 2 vor, ist eine Ein7elfallanalyse notwendig.
7 Prüfung der MSR-Einrichtung mit Sicherheitsfunktion
(1) Für die Durchführung der Prüfung von MSR-Einrichtungen mit Sicherheitsfunktion ist die Betriebssicherheitsverordnung und die TRBS 1201 Teil 1 zu beachten.
(2) MSR-Einrichtungen mit Sicherheitsfunktion sind vor Inbetriebnahme, nach Änderung und wiederkehrend zu prüfen. Vor Inbetriebnahme und nach Änderung muss die Anwendersoftware auf Richtigkeit und richtige Umsetzung in das Programm geprüft werden. Hinweise hierzu können den allgemeinen Anforderungen ira Anhang 1 entnommen werden.
(3) Für redundante Funktionseinheiten gilt, dass ein Ausfall einer Redundanz durch einen passiven Fehler durch Prüfung oder Überwachung erkannt werden muss.
(4) Die Prüftiefe hängt von der gewählten Klassifizierungsstufe und Architektur der MSR-Einrichtung mit Sicherheitsfunktion ab und muss die Prüfung der sicheren Funktion beinhalten.
(5) Die Prüffristen und die Prüftiefe sind unter Berücksichtigung der Ergebnisse der Gefährdungsbeurteilung nach § 3 der Betriebssicherheitsverordnung festzulegen. In der Regel ist eine Prüffrist von zwölf Monaten ausreichend. Einflüsse haben z.B.:
Maßnahmen zur Erkennung, Vermeidung oder Beherrschung des Ausfalls der MSR-Einrichtungen mit Sicherheitsfunktion | Anhang 1 |
1 Allgemeine Anforderungen für alle Klassifizierungsstufen 17
(1) Falls für die ordnungsgemäße Funktion der Überwachung das Vorhandensein oder die Vorhaltung von Hilfsenergien (z.B. elektrische Energie) oder Hilfsmedien (z.B. Inertgase oder Druckluft) erforderlich sind, so ist bei Ausfall derselben die dafür festgelegte Sicherheitsfunktion auszuführen. Es ist z.B. eine Alarmierung auszulösen, oder die Hilfsenergie/-medien müssen redundant sein.
(2) Überwachungen dürfen nach Auslösung nicht automatisch zurückgesetzt werden, es sei denn in der Gefährdungsbeurteilung ist etwas anderes festgelegt.
(3) Sofern manuelle Absperreinrichtungen an Prozessanschlüssen von Sicherheitseinrichtungen vorhanden sind, muss deren Fehlstellung erkannt werden und zu Maßnahmen führen oder der Stellungszustand muss leicht erkennbar und gegen unbeabsichtigtes Schließen gesichert sein, z.B. durch Sperrhülsen, Kette und Schloss oder durch Entfernen von Handrädern.
(4) Überwachungen müssen grundsätzlich unabhängig von betrieblich erforderlichen Mess-, Steuer- und Regeleinrichtungen funktionieren.
(5) Zwischen Überwachungen und Betriebseinrichtungen ohne Sicherheitsfunktion, wie z.B. Visualisierungseinrichtungen, ist grundsätzlich Rückkopplungsfreiheit sicherzustellen. Die Überwachung muss von MSR-Betriebseinrichtungen insoweit unabhängig sein, dass bei Ausfällen von Betriebseinrichtungen die Funktion der Überwachung erhalten bleibt (z.B. dürfen Anregesignale der Überwachung zur Verwendung im Regelkreis von MSR-Betriebseinrichtungen nur rückwirkungsfrei ausgekoppelt werden). Andernfalls ist von einer Abhängigkeit auszugehen und Nummer 4.3 Absatz 7 ist zu beachten. Das Signal zur Auslösung der Sicherheitsfunktion muss stets Vorrang vor den Signalen der Betriebseinrichtung haben.
(6) Für einfache Systeme kann in den folgenden Fällen die Klassifizierungsstufe K1 durch bewährte Technik mit regelmäßiger Prüfung in Verbindung mit den allgemeinen Anforderungen nach diesem Anhang erreicht werden:
(7) Komplexe Systeme können nur verwendet werden, wenn diese durch den Hersteller oder hinsichtlich der Betriebsbewährung durch den Arbeitgeber bewertet sind.
(8) Für komplexe Systeme, die programmierbar sind, müssen die Anforderungen der DIN EN 50495 (VDE 0170- 18):2010, Abschnitt 5.3.3 bei der Erstellung der Anwendersoftware beachtet werden. Dabei gilt insbesondere:
(9) Prozessleitsysteme (PLS). können abweichend von Absatz (7) und Absatz (8) als komplexe Systeme für die Klassifizierungsstufe K1 eingesetzt werden, wenn für diese die folgenden Bedingungen erfüllt sind:
(10) Prozessleitsysteme dürfen keine Funktion von Gaswarneinrichtungen mit automatischer Auslösung von Notfunktionen nach Nummer 2.5.4 der TRGS 722 wahrnehmen, es sei denn, sie sind nach den Normen für Gaswarnanlagen ausgelegt und geprüft. Die Anforderungen für den Einsatz von Gaswarneinrichtungen sind in Nummer 2.5 der TRGS 722 beschrieben.
(11) Für die Klassifizierungsstufe K2 bis K3 gilt, dass ein passiver Fehler innerhalb einer Zeitspanne erkannt und beseitigt werden muss, in der vernünftigerweise nicht mit einem weiteren Fehler gerechnet werden muss, der in Kombination mit dem passiven Fehler zu einem unsicheren Zustand führt.
(12) Bei softwaregesteuerten Geräten (z.B. Frequenzumrichter oder Stellungsregler) müssen sicherheitstechnische Schalthandlungen grundsätzlich ohne deren Softwaresteuerung direkt auf das entsprechende Stellglied einwirken, es sei denn, es liegt der Nachweis der erforderlichen funktionalen Sicherheit vor. Abweichungen hiervon sind zulässig, wenn dies in der Gefährdungsbeurteilung nach § 6 Absatz 9 GefstoffV ( Explosionsschutzdokument) begründet wird.
2 Zusatzmaßnahmen
(1) Über die allgemeinen Anforderungen hinaus sind, wenn im Einzelnen gefordert, die folgenden Zusatzmaßnahmen einzuhalten:
(2) Bei anderen Klassifizierungsstufen als K1 sind zur Erfüllung der erforderlichen Fehlersicherheit, in Abhängigkeit von einer Fehlerbetrachtung, weitergehende Maßnahmen notwendig, z.B.
Maßnahmen zur Vermeidung oder Beherrschung des Ausfalls einer Überwachung - Anforderungen an MSR-Einrichtungen, welche nach dem Stand der Technik betriebsbewährt sind | Anhang 2 16 |
(1) Die Betriebsbewährung muss für die Hardware, die Systemsoftware und, soweit erforderlich, auch für die Anwendungssoftware gegeben sein. Mögliche systematische Fehler haben bei solchen Geräten keine sicherheitsrelevante Auswirkung gezeigt. Die Betriebsbewährung der Hardware hängt von den Prozessgrößen und Stoffeigenschaften ab, denen die Hardware ausgesetzt ist sowie von den Betriebsbedingungen und muss in jedem Einzelfall geprüft werden.
(2) Für die Feststellung der Betriebsbewährung eines Geräts für einen bestimmten Einsatzfall ist der Arbeitgeber verantwortlich.
(3) Für die Beurteilung der Betriebsbewährung sind die folgenden Informationen erforderlich:
(4) Die Bewährung einer Komponente ist anwendungsbezogen und nur im Einzelfall auf Basis einer Laborprüfung zu akzeptieren
(5) Als betriebsbewährte Komponenten gelten Komponenten, für die folgende Voraussetzungen erfüllt sind:
(6) Softwaremodule können als betriebsbewährt gelten, wenn sie Anforderungen nach Absatz 3 und 5 erfüllen.
(7) Anwendersoftware gilt als betriebsbewährt, wenn
Beispiel für die Anwendung der Methodik Beurteilung einer einkanaligen Lüftungsanlage | Anhang 3 |
Das folgende einfache Beispiel erläutert die unter Nummer 4.1 bis 4.4 beschriebene Vorgehensweise. Die Sicherheitsfunktion der Ex-Vorrichtung ist die Vermeidung von explosionsfähiger Atmosphäre durch Lüftung.
Die hier exemplarisch angegebenen Einstufungen des Ausfallverhaltens sowie die Abgrenzung der Funktionseinheiten sind für das vorliegende Beispiel willkürlich gewählt und sind vor dem Hintergrund der jeweiligen Anwendung zu ermitteln. S. ist z.B. der Ausfall einer Energieversorgung entgegen der Einstufung des Beispiels üblicherweise als vorhersehbar einzustufen. Von einem verbesserten Ausfallverhalten kann nur unter Berücksichtigung zusätzlicher Maßnahmen ausgegangen werden, die im Einzelfall zu bewerten sind. Dies kann z.B. das Vorliegen eines besonders gesicherten Netzes oder eine zusätzliche unabhängige, parallel einspeisende Energieversorgung sein.
Abbildung 9: Einfache Lüftungsanlage mit den Funktionseinheiten Energieversorgung (1), Ventilator mit Antrieb (2) und Kanäle (3) mit Stellklappe und Alarmierung des Ausfalls
Tabelle 14: Unterteilung der Ex-Einrichtung in Funktionseinheiten
Funktionseinheit | Funktionseinheit aufgebaut aus: | Bewertung des Ausfallverhaltens | Klassifizierungsstufe | |||
A: Ex-Einrichtung | Vorhersehbar | K1 | ||||
a 1 | Energieversorgung | Selten | K2 | |||
a 1.1 | EVU Einspeisung | Selten | K2 | |||
a 1.2 | Schaltanlage | Selten | K2 | |||
a 1.3 | Kabelanlage | Selten | K2 | |||
a 2 | Ventilator mit Antrieb | Vorhersehbar | K1 | |||
a 2.1 | Motor | Selten | K2 | |||
a 2.2 | Ventilator | Vorhersehbar | K1 | |||
a 2.3 | Riemenantrieb | Vorhersehbar | K1 | |||
a 3 | Kanäle | Vorhersehbar | K1 | |||
Stellklappe | Vorhersehbar | K1 | ||||
Verrohrung | sehr selten | K3 | ||||
B: Überwachung | bewährte Technik | K1 | ||||
B 1 | Sensorik | bewährte Technik | K1 | |||
B 1.1 | Blende | Fail Safe | K3 | |||
B 1.2 | PDA | diff. Druckmessung | bewährte Technik | K1 | ||
B 2 | Logik | bewährte Technik | K1 | |||
B 2.1 | Kontakte | bewährte Technik | K1 | |||
B 3 | Aktorik | bewährte Technik | K1 | |||
B 3.1 | Hupe | bewährte Technik | K1 | |||
B 3.2 | Leuchte | bewährte Technik | K1 |
Funktional liegt für alle Funktionseinheiten der Ex-Einrichtung des Beispiels eine Reihenschaltung vor. Dies bedeutet, dass die schlechteste Bewertung in der Kette die Gesamtbewertung bestimmt. Damit ergibt sich für die Ex-Einrichtung eine Klassifizierungsstufe von K1. Mit der Klassifizierungsstufe K1 ergibt sich entsprechend Tabelle 6 eine Reduzierungsstufe von 1.
Abbildung 10: Wirkschaltbild des Beispiels der Abbildung 9 der Ex-Einrichtung Lüftung
Die Überwachung trägt in dem vorliegenden Beispiel nicht zur Sicherheitsfunktion bei und beeinflusst deshalb nicht das Ausfallverhalten der Ex-Einrichtung.
Hinweis: Die Wirksamkeit der Lüftung zur Zonenreduzierung ist in der Gefährdungsbeurteilung zu bewerten und gegebenenfalls regelmäßig zu überprüfen.
Verzeichnis von Normen | Anlage 4 |
Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen; DIN EN ISO 13849:2008
Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen; DIN EN SO 13849: 2006
Nichtelektrische Geräte für den Einsatz in explosionsgefährdeten Bereichen - Teil 6: Schutz durch Zündquellenüberwachung "b"; DIN EN 13463-6:2005
Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1: Allgemeine Gestaltungsleitsätze; DIN EN 954:1997
Sicherheitseinrichtungen für den sicheren Betrieb von Geräten im Hinblick auf Explosionsgefahren; DIN EN 50495 (VDE 0170-18):2010
Funktionale Sicherheit sicherheitsbezogener elektrischer/ elektronischer/ programmierbarer elektronischer Systeme - Teil 1: Allgemeine Anforderungen (IEC 61508-1:2010); DIN EN 61508 (VDE0810):2010
Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie - Teil 1: Allgemeines, Begriffe, Anforderungen an Systeme, Software und Hardware (IEC 61511- 1:2003 + Corrigendum 2004);;DIN EN 61511:2004
Sicherheit von Maschinen - Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme (IEC 62061:2005 + A1:2012); DIN EN 62061 (VDE 0113- 50):2013
ENDE |
(Stand: 01.10.2024)
Alle vollständigen Texte in der aktuellen Fassung im Jahresabonnement
Nutzungsgebühr: 90.- € netto (Grundlizenz)
(derzeit ca. 7200 Titel s.Übersicht - keine Unterteilung in Fachbereiche)
Die Zugangskennung wird kurzfristig übermittelt
? Fragen ?
Abonnentenzugang/Volltextversion